黑客肆虐，看信息界黃埔軍校如何應對

 

北京郵電大學是教育部直屬、工業和信息化部共建的全國重點大學，是一所以信息科技為特色、工學門類為主體、工管文理協調發展的多科性大學。北郵是我國信息科技人才的重要培養基地，在業界享有“信息界黃埔軍校”的美譽。

 

 

或許正是因為這樣的學校背景，北郵網絡成為眾多黑客的試金石。北郵的校園網和數據中心經常受到大量外部攻擊，同時也會受到內部滲透攻擊。過去固若金湯的安全防線，在新一代安全威脅面前，早已千瘡百孔。

 

項目背景

北郵在多年前便已建立了完善的邊界安全防護體系，但隨著近年來攻擊手段的不斷豐富，城防式的傳統防護體系不斷被攻破，突出表現為以下安全問題：

1、數據中心內部安全問題無法主動感知，只能被動的等待問題發生后進行補救。因此，經常會發生內部主機被感染后，管理者無從知曉，直到內部服務器信息被篡改發生時，才被動響應，查找定位相關問題；

 

2、數據中心對托管的業務無法進行深度防護。作為數據中心的主管單位學校信息中心，除了維護自身的業務外，還要維護各院系、各職能單位托管的服務器及服務器上所承載各種服務。這些系統對信息中心來說就像是一個個黑盒子，無法逐個深入了解每臺主機上的業務和應用。當這些主機被攻陷用于惡意行為時，也無法輕易感知到問題。

 

這些潛在的問題，如同一顆顆定時炸彈，增加了數據中心的安全隱患。盡管管理員也時刻感受到了涌動的暗流，無奈在傳統安全設備上看清數據中心所承載的海量應用幾乎是不可能完成的任務，更不要說防范蘊藏在海量應用中的風險。

 

新思路應對新挑戰

網康解決北郵校園網安全問題的核心思路是要對數據中心的網絡安全和威脅進行深度檢測，先發現問題，再解決問題。就此，網康提出了網絡威脅感知的解決方案，通過對數據中心的網絡行為、安全日志、流量日志進行空間和時間維度的關聯分析，發現校園網中潛在的失陷主機，然后基于大數據溯源技術，幫助客戶找到問題發生的根本原因，采取對應的解決方案。

 

部署拓撲如下：

  

在數據中心邊界，部署慧眼云探針，該探針鏡像部署，采集各種行為日志、安全日志、流量日志，并將這些日志實時發送到網康下一代威脅感知系統慧眼云上。

 

全網可視化讓失陷主機無處遁形

慧眼云在北郵網絡部署一個月后，共發現失陷主機11臺，包括一臺失陷的網絡設備。下面以這臺網絡設備為例，分析整個失陷的過程。

STEP1：

通過查看失陷主機二維分布圖，可以發現有一臺IP地址為10.3.8.90的主機（事后確認為某廠商的流控設備）處于黃色區域，說明該主機失陷的可能性比較大，而且很可能已經被利用產生惡意行為。

 

STEP2：

通過對這臺主機的鉆取，可以看到這臺主機被感染的詳細情況。從8月10日開始，這臺主機一直處于風險系數比較高的狀態。

 

STEP3：

繼續對這臺主機的詳細威脅活動進行分析，發現其威脅活動集中在異常掃描和發送大量垃圾郵件上。

 

 

STEP4：

通過對這臺主機的流量行為進一步分析，發現這臺主機發送大量的SMTP，并且目的地址離散，進一步確認了該臺網絡設備已經成為垃圾郵件發送器。后來經過檢查確認主機已經被入侵，并且被植入了木馬。

 

看清了問題之所在，解決問題變得易如反掌。網康工程師對木馬進行清除，并升級系統，該臺主機很快就從失陷地圖上消失。

 

不斷失陷的網絡，靠什么拯救

權威機構的一項研究表明，在PC數量超過5000的大型企業網絡中，有超過90%的企業均存在活躍的失陷主機，而攻陷這些主機的原因多種多樣。由于失陷主機受控或發起惡意行為往往難尋規律、隱蔽性極強，絕大部分已存在失陷主機的組織根本無法感知。

網康慧眼云方案，可以幫助客戶發現內網中的問題隱患，同時基于大數據日志分析，追根溯源，找到失陷的根本原因，對癥下藥，從而從根本上提升了安全防護能力。

看得見賊才捉得住賊。慧眼云，助力安全看得見。

 

更多下一代防火墻案例

比服務器被黑了更痛苦的事兒是啥？